-
Curve y los otros dos protocolos enviaron un mensaje on-chain mediante Ethereum.
-
El plazo límite para la negociación es el 6 de agosto.
El equipo de desarrollo del protocolo de finanzas descentralizadas (DeFi) Curve dejó un mensaje a los hackers que robaron aproximadamente USD 52 millones de su plataforma. Les ofrecen un 10% del botín a cambio de devolver todo el dinero restante.
Mediante una transacción on-chain en Ethereum enviada a una dirección del hacker, Curve expresó su voluntad de «negociar con cualquier parte involucrada en el exploit reciente a Curve». El mensaje tiene como emisores también a otros dos protocolos, Metronome y Alchemix, centrados en la agricultura de rendimiento y en la creación de tokens sintéticos, respectivamente.
Si el hacker o grupo de hackers accede al intercambio, las DeFi en cuestión no lo perseguirán más ni tampoco sufrirá acciones legales en su contra, prosigue el mensaje. La fecha límite para completar el proceso de devolución voluntaria de fondos es el domingo 6 de agosto a las 8 a.m. (UTC).
En caso de que el atacante no cumpla con su parte en ese lapso, Curve advierte que se «expandirá la recompensa al público y se ofrecerá el 10% a la persona capaz de identificarte (al hacker) de un modo que permita llevarte ante la Justicia». «Vamos a perseguirte desde todos los ángulos y con todo el peso de la ley», afirman.
La ambigua respuesta del hacker
Pocas horas después de enviado el mensaje de Curve, llegó una respuesta por parte del hacker o grupo de hackers.
A través de la misma vía, una transacción en Ethereum, respondió a Curve pidiendo que confirme la propiedad de una dirección a través de su cuenta oficial en Twitter.
No queda claro, de todos modos, si el atacante realmente piensa acceder al pedido de Curve y devolver el 90% de lo robado o si simplemente está «jugando», a la vez que confirma que recibió el ultimátum anterior.
Todavía no se conoce la identidad de la persona o entidad que llevó adelante el hackeo a Curve, que afectó también a Metronome y a Alchemix. Sin embargo, sí se han identificado ciertas transacciones de las direcciones involucradas en el hecho. Esto permitió la comunicación, por ahora unilateral, con los atacantes.
Mientras el hacker original todavía conserva los fondos robados, uno de los bots de MEV que sacó partido del pool pETH-ETH devolvió 6.105 WETH sustraídos al protocolo JPEGd. Este protocolo descentralizado de préstamos permite la emisión de tokens con respaldo en ese pool de Curve, que resultó ser uno de los cuatro afectados en el hackeo.
El hackeo millonario al protocolo Curve
Durante la jornada del sábado 29 y domingo 30 de julio, un hackeo a cuatro pools de liquidez en el exchange descentralizado Curve llevó a un drenaje de fondos que acabó siendo de al menos USD 52 millones, como reportó CriptoNoticias. Algunas fuentes periodísticas hablan de cifras que incluso duplican ese monto, pero no hay confirmaciones oficiales al respecto.
La vulnerabilidad expuesta dio lugar a que muchos bots de MEV (máximo valor extraíble, una técnica de los validadores para reordenar transacciones y ganar más dinero en cada bloque) sacaran ventaja. Estos bots pudieron replicar ciertas transacciones y colocarlas adelante de las del hacker para beneficiarse, como se explicó en este periódico.
No obstante, también hubo buenos gestos en medio de tanto caos. Por ejemplo, un validador que usaba un bot de MEV devolvió una suma de USD 5,4 millones. La devolución de estos 2.879 ethers (ETH) generó aprobación en la comunidad, que celebró la decisión del usuario bajo el seudónimo c0ffeebabe.eth.
